samba+active directory [не решено]

Есть винсервер с active directory. Задача стоит в том, чтобы можно было логиниться на локальном компьютере с gentoo linux с доменными именами из AD. Раньше, кстати, всё уже было настроено и работало (не мной настраивалось), но при обновлении что-то умудрился поломать...
Конфиги не трогал, etc-update делал аккуратно, потому не знаю, что могло поломаться.
В общем, решил настроить заново, по мануалу http://en.gentoo-wiki.com/wiki/Active_Directory_with_Samba_and_Winbind
kerberos и samba вроде бы работают как надо. Дошёл до шага с getent - это команда не выводит ни список юзверей, ни список групп из AD. Только локальных. Почему-то. В то время как wbinfo всё нормально выводит.
В чём может быть проблема?
Вот файл /etc/nsswitch.conf - вроде бы всё как надо...

passwd:      compat winbind
shadow:      compat winbind
group:       compat winbind

hosts:       files dns
networks:    files dns

services:    db files
protocols:   db files
rpc:         db files
ethers:      db files
netmasks:    files
netgroup:    files
bootparams:  files

automount:   files
aliases:     files

Ведь на этом шаге запнулся, неправильно работает nsswitch?..

Если нужны тексты других конфигов, тоже могу написать.

Этого малою Надо еще

Этого малою Надо еще настроить керберос и добавить сервер в ад. Процедура расписана неоднократно, в т.ч в книгах по самба и на оффсайте проекта. Вот одна из возможных ссылок на русском http://gentoo.blog.ru/77378147.html.

Сразу пробуем получить ключик

 Сразу пробуем получить ключик от домена , подключаемся обязательно с учетки админа в домене.

:(((. Печально и очень грустно.

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

:)))

slepnoga написал(а):
:(((. Печально и очень грустно.

А что не так?!?
С виндовсом так и надо!!!

:wq
--
Live free or die

Печально и очень грустно IMHO

Печально и очень грустно IMHO избыточное требование админского (которого именно :) ) пароля.

П.С По теме есть что сказать ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

Ну, это не проблема,

Ну, это не проблема, админские права у меня есть. Сервер не совсем мой, он общий, нас там, админов, много :) ибо серверов тоже много.
Но за линуксы отвечаю я, и мне надо с этим разобраться, никто из других админов помочь не может. :( Потому здесь и спрашиваю.

Спасибо, что ответили. Я

Спасибо, что ответили.
Я по-моему кинул ссылку на руководство %) керберос я настроил, и вообще всё настроил. Просто напряжно все конфиги сюда кидать, могу кинуть именно то, в чём я прокололся, но пока не понял.
Кербрерос вроде бы работает, права одминские на винсервере у меня есть...

Про то, что процедура описана, я знаю, но у меня конкретная проблема, а не "я не знаю, что мне делать, помогите".
Ни в одном руководстве решения пока не нашёл.

А запнулся я именно на том месте, что wbinfo отрабатывает нормально, а вот в линуксе я залогиниться под этими именами не могу %) getent не перечисляет их, хотя, если я правильно понял, должен.
pam я ещё не настраивал по тому руководству, как понял, это потом делается, когда убеждаются, что getent работает. Или я не прав?

Есть винсервер с active

Есть винсервер с active directory

Ваш ? (логи бы с него получить)

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

В принципе, не проблема, могу

В принципе, не проблема, могу их получить, только подскажите, если можно, как. :)

Да и, повторюсь, проблема точно не в виндовсе, wbinfo видит нормально список сетевых юзверей и групп, но getent их не видит, и залогиниться под ними нет возможности.

wbinfo это ntlm, getent это

wbinfo это ntlm, getent это АД :)

могу их получить, только подскажите, если можно, как. :

врубить политикой для контроллера логгирование доступа и посмотреть по secyurity access логу события отказа
Также проверить синхронизацию времени с контроллера

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

> Также проверить

> Также проверить синхронизацию времени с контроллера
Время синхронизировал, всё нормально с этим.
> врубить политикой для контроллера логгирование доступа и посмотреть по secyurity access логу события отказа
А тут вообще не понял, можно поподробнее? %) А то контроллер не я настраивал...

Да и, повторюсь, там всё работает. И на старых компах с линуксами тоже работает. Проблема локальная, на новой системе.

.

Flaming написал(а):
И на старых компах с линуксами тоже работает. Проблема локальная, на новой системе.

В этом случае для анализа ИМХО список изменённых в рамках etc-update конфигов (и diff'ы проблемных с рабочими) будет поинтереснее логов виндового сервера.

:wq
--
Live free or die

В том и проблема, что не

В том и проблема, что не помню, чтобы что-то менял. Потом мне надоело разбираться, решил заново всю систему из третьей стадии собрать. :) И поочерёдно настроить.
Настраиваю по тому руководству, что в ссылке в первом посте, и затыкаюсь на том месте. :(
Конфиг самбы и кербероса:

[global]
    security = domain
#    realm = CS.VSU.RU
    password server = csfs.cs.vsu.ru
    workgroup = CS
#    winbind separator = +
    winbind refresh tickets = yes
   domain master = no
   server string = %h
   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   passdb backend = tdbsam
   obey pam restrictions = yes
   invalid users = root
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   logon home = \\%N\home$\%U
   socket options = TCP_NODELAY
   idmap backend = rid:CS.VSU.RU=70000-170000
   idmap uid = 70000-170000
   idmap gid = 70000-170000
   template homedir = /home/%D/%U
   template shell = /bin/bash
   winbind enum groups = no
   winbind enum users = no
   client use spnego = yes
   client ntlmv2 auth = yes
   winbind use default domain = yes
   restrict anonymous = 2

А вот керберос:

[libdefaults]
	default_realm = CS.VSU.RU

# The following krb5.conf variables are only for MIT Kerberos.
#	krb4_config = /etc/krb.conf
#	krb4_realms = /etc/krb.realms
	kdc_timesync = 1
	ccache_type = 4
	forwardable = true
	proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.

#	default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
#	default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
#	permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos.
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	fcc-mit-ticketflags = true

[realms]
	CS.VSU.RU = {
	    kdc = csfs.cs.vsu.ru
	    admin_server = csfs.cs.vsu.ru
	    default_domain = CS.VSU.RU
	}
	ATHENA.MIT.EDU = {
		kdc = kerberos.mit.edu:88
		kdc = kerberos-1.mit.edu:88
		kdc = kerberos-2.mit.edu:88
		admin_server = kerberos.mit.edu
		default_domain = mit.edu
	}
	MEDIA-LAB.MIT.EDU = {
		kdc = kerberos.media.mit.edu
		admin_server = kerberos.media.mit.edu
	}
	ZONE.MIT.EDU = {
		kdc = casio.mit.edu
		kdc = seiko.mit.edu
		admin_server = casio.mit.edu
	}
	MOOF.MIT.EDU = {
		kdc = three-headed-dogcow.mit.edu:88
		kdc = three-headed-dogcow-1.mit.edu:88
		admin_server = three-headed-dogcow.mit.edu
	}
	CSAIL.MIT.EDU = {
		kdc = kerberos-1.csail.mit.edu
		kdc = kerberos-2.csail.mit.edu
		admin_server = kerberos.csail.mit.edu
		default_domain = csail.mit.edu
		krb524_server = krb524.csail.mit.edu
	}
	IHTFP.ORG = {
		kdc = kerberos.ihtfp.org
		admin_server = kerberos.ihtfp.org
	}
	GNU.ORG = {
		kdc = kerberos.gnu.org
		kdc = kerberos-2.gnu.org
		kdc = kerberos-3.gnu.org
		admin_server = kerberos.gnu.org
	}
	1TS.ORG = {
		kdc = kerberos.1ts.org
		admin_server = kerberos.1ts.org
	}
	GRATUITOUS.ORG = {
		kdc = kerberos.gratuitous.org
		admin_server = kerberos.gratuitous.org
	}
	DOOMCOM.ORG = {
		kdc = kerberos.doomcom.org
		admin_server = kerberos.doomcom.org
	}
	ANDREW.CMU.EDU = {
		kdc = vice28.fs.andrew.cmu.edu
		kdc = vice2.fs.andrew.cmu.edu
		kdc = vice11.fs.andrew.cmu.edu
		kdc = vice12.fs.andrew.cmu.edu
		admin_server = vice28.fs.andrew.cmu.edu
		default_domain = andrew.cmu.edu
	}
	CS.CMU.EDU = {
		kdc = kerberos.cs.cmu.edu
		kdc = kerberos-2.srv.cs.cmu.edu
		admin_server = kerberos.cs.cmu.edu
	}
	DEMENTIA.ORG = {
		kdc = kerberos.dementia.org
		kdc = kerberos2.dementia.org
		admin_server = kerberos.dementia.org
	}
	stanford.edu = {
		kdc = krb5auth1.stanford.edu
		kdc = krb5auth2.stanford.edu
		kdc = krb5auth3.stanford.edu
		admin_server = krb5-admin.stanford.edu
		default_domain = stanford.edu
	}

[domain_realm]
	.cs.vsu.ru = CS.VSU.RU
	cs.vsu.ru = CS.VSU.RU
	.mit.edu = ATHENA.MIT.EDU
	mit.edu = ATHENA.MIT.EDU
	.media.mit.edu = MEDIA-LAB.MIT.EDU
	media.mit.edu = MEDIA-LAB.MIT.EDU
	.csail.mit.edu = CSAIL.MIT.EDU
	csail.mit.edu = CSAIL.MIT.EDU
	.whoi.edu = ATHENA.MIT.EDU
	whoi.edu = ATHENA.MIT.EDU
	.stanford.edu = stanford.edu

[login]
	krb4_convert = true
	krb4_get_tickets = false

Такие конфиги и были раньше до меня, и всё работало, я через etc-update ничего не затирал. :)

С проблемой с логином

С проблемой с логином разобрался. getent продолжал молчать - он ничего не знает о новых юзверях. Но логинятся они нормально.
Столкнулся с новой проблемой.

Есть вендовая шара, на которой хранятся профили всех пользователей. Разумно там же хранить и их линуксовый домашний каталог с настройками. Чтобы не приходилось каждый раз что-то там перенастраивать.
Напрямую его монтировать в /home/DOMAIN/user нельзя. Потому что там то ли какая-то байда с симлинками, то ли с fifo-файлами, то ли не помню. В общем, ущербная файловая система, или что-то ещё.
В идеале - смонтировать куда-нить в /media/home_user этот каталог, и скопировать при логине в /home/DOMAIN/user его содержимое. И после логаута синкать его с содержимым /media...
Как можно такое реализовать? Готового решения нет?

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".